Du googler dit eget firmanavn og ser pludselig resultater med Viagra, casino-links eller russisk tekst. Din side ser normal ud når du åbner den — men Google viser noget helt andet. Det er et pharma hack, og det er et af de mest udbredte og skadelige WordPress-angreb i dag.
Hvad er et pharma hack?
Et pharma hack — også kaldet SEO-spam eller Japanese keyword hack — er en type malware der injicerer tusindvis af usynlige spam-sider i dit WordPress-site. Siderne er optimeret til at rangere på søgetermer som receptpligtig medicin, online casino eller piratkopieret software.
Det er usynligt for dig som ejer fordi hackerne aktivt skjuler det: koden viser kun spam-indholdet for søgemaskiner og besøgende der kommer fra Google. Når du selv besøger siden — særligt hvis du er logget ind — ser alt normalt ud.
Det gør det ekstraordinært svært at opdage. Mange siteejere finder ud af det måneder efter infektionen, når Google allerede har straffet deres rankings markant.
Tre varianter du skal kende
Klassisk pharma hack — injicerer spam direkte i databasen i eksisterende indlæg og sider. Indholdet vises kun for Googlebots og besøgende med Googlebot-lignende user agents.
Japanese keyword hack — opretter nye sider med japanske tegn i URL’er og titler. Særligt synligt i Google Search Console og i site:-søgninger.
Conditional redirect hack — omdirigerer kun mobilbrugere eller kun besøgende fra Google til spamsites. Du selv ser intet fordi du typisk kommer direkte til sitet.
Sådan finder du ud af om du er ramt
Test 1 — Google site-søgning:
Søg i Google: site:ditdomæne.dk viagra eller site:ditdomæne.dk casino. Ser du resultater? Så er du ramt.
Test 2 — Google Search Console:
Gå til Sikkerhed og manuelle handlinger → Sikkerhedsproblemer. Google rapporterer aktivt pharma hacks her.
Test 3 — Fetch as Googlebot:
Brug URL Inspection Tool i Search Console og sammenlign hvad Google ser med hvad du ser.
Test 4 — Tjek dine sider-tal:
Gå til Sider → Alle sider og Indlæg → Alle indlæg. Har du pludselig hundredvis af indlæg du ikke har skrevet?
Hvor gemmer pharma hack-koden sig?
I modsætning til mange andre malware-typer gemmer pharma hacks sig primært i databasen og i tema-filer — ikke i WordPress-kernefilerne.
Databasen — tjek tabellerne wp_options, wp_posts og wp_postmeta for injiceret indhold. Brug denne SQL-forespørgsel:
SELECT ID, post_title, post_status
FROM wp_posts
WHERE post_content LIKE '%viagra%'
OR post_content LIKE '%casino%'
OR post_content LIKE '%cialis%'
LIMIT 50;wp_options — auto_prepend_file: Tjek om hackerne har sat en auto_prepend_file i wp_options der loader malware-kode før alt andet.
Tema-filer — særligt functions.php og header.php. Kig efter kode der tjekker HTTP_USER_AGENT og serverer andet indhold til Googlebot.
Skjulte filer i uploads-mappen — kør find /wp-content/uploads -name "*.php" via SSH.
Rensningsprocessen trin for trin
- Tag backup af hele sitet inden du begynder — selv det inficerede
- Identificer alle injicerede sider via SQL-søgning som vist ovenfor
- Slet injiceret indhold fra databasen — brug Search & Replace plugin til at finde og rense
- Rens tema-filerne manuelt — sammenlign med backup fra inden infektionen
- Fjern alle backdoors — se vores guide om manuel malware-rensning
- Opdater WordPress, alle plugins og temaer
- Skift alle adgangskoder
- Anmod Google om genvurdering via Search Console
Genopretning af Google-rankings
Det er den del der tager længst tid. Selv efter en komplet oprydning kan det tage 2-8 uger før Google opdaterer sine indekser og fjerner spam-siderne fra søgeresultaterne.
Fremskynde processen:
- Brug Google Search Console → URL Fjernelse til at anmode om fjernelse af specifikke spam-URL’er
- Send en opdateret sitemap via Search Console
- Anmod om genvurdering hvis du har fået en manuel straf
Rankings kommer typisk tilbage inden for 1-3 måneder efter en komplet oprydning og genvurdering.
Har du opdaget et pharma hack på dit site? Kontakt mig — jeg har renset 50+ hackede WordPress-sites og kender præcis hvor koden gemmer sig.